本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# AMS Accelerate 中的自動化執行個體組態
AMS Accelerate 提供自動化執行個體組態服務。此服務可確保執行個體為 AMS 發出正確的日誌和指標,以正確管理執行個體。自動化執行個體組態有自己的入門先決條件和步驟,如本節稍後所述。
**Topics**
+ [加速中的自動化執行個體組態運作方式](inst-auto-config-how-works.md)
+ [SSM Agent 自動安裝](ssm-agent-auto-install.md)
+ [自動化執行個體組態變更](inst-auto-config-changes-made.md)
# 加速中的自動化執行個體組態運作方式
自動化執行個體組態可讓 AMS Accelerate 根據您透過新增特定代理程式和標籤所指示的執行個體,每天執行特定組態。
# Accelerate 中自動化執行個體組態的先決條件
必須滿足這些條件,才能讓 AMS Accelerate 在受管執行個體上執行先前描述的自動化動作。
**SSM 代理程式已安裝**
AMS Accelerate 自動化執行個體組態需要安裝 AWS Systems Manager SSM Agent。
如需使用 AMS SSM Agent 自動安裝功能的詳細資訊,請參閱 [SSM Agent 自動安裝](ssm-agent-auto-install.md)。
如需手動安裝 SSM Agent 的資訊,請參閱下列內容:
+ Linux:在[適用於 Linux 的 Amazon EC2 執行個體上手動安裝 SSM 代理程式 - AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-manual-agent-install.html)
+ Windows:在[適用於 Windows Server 的 Amazon EC2 執行個體上手動安裝 SSM 代理程式 - AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-install-win.html)
**SSM 代理程式處於受管狀態**
AMS Accelerate 自動化執行個體組態需要操作 SSM 代理程式。必須安裝 SSM Agent,Amazon EC2 執行個體必須處於受管狀態。如需詳細資訊,請參閱 AWS 文件[:使用 SSM Agent](https://docs.aws.amazon.com/systems-manager/latest/userguide/ssm-agent.html)。
# 自動化執行個體組態設定
假設符合先決條件,新增特定的 Amazon EC2 執行個體標籤會自動啟動 AMS Accelerate 自動化執行個體組態。使用下列其中一種方法來新增此標籤:
1. (強烈建議) 使用 AMS Accelerate Resource Tagger
若要設定帳戶的標記邏輯,請參閱 [標記的運作方式](acc-tag-intro.md#acc-tag-how-works)。標記完成後,會自動處理標籤和自動執行個體組態。
1. 手動新增標籤
手動將下列標籤新增至 Amazon EC2 執行個體:
Key:**ams:rt:ams-managed**、Value:**true**。
**注意**
一旦 **ams:rt:ams 受管**標籤套用至執行個體,執行個體組態服務會嘗試套用所需的 AMS 組態。每當執行個體啟動,以及 AMS 每日組態檢查發生時,服務都會宣告 AMS 所需的組態。
# SSM Agent 自動安裝
若要讓 AMS 管理您的 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體,您必須在每個執行個體上安裝 AWS Systems Manager SSM Agent。如果您的執行個體未安裝 SSM Agent,您可以使用 AMS SSM Agent 自動安裝功能。
**注意**
如果您的帳戶在 6/03/2024 之後加入 AMS Accelerate,則預設會啟用此功能。若要關閉此功能,請聯絡您的 CA 或 CSDM。
若要在 6/03/2024 之前加入的帳戶中開啟此功能,請聯絡您的 CA 或 CSDM。
此功能僅適用於不在 Auto Scaling 群組中且執行 AMS 支援的 Linux 作業系統的 EC2 執行個體。
## SSM Agent 使用的先決條件
+ 確定與目標執行個體相關聯的執行個體描述檔具有下列其中一個政策 (或與其允許清單相同的許可):
+ AmazonSSMManagedEC2InstanceDefaultPolicy
+ AmazonSSMManagedInstanceCore
+ 請確定 AWS Organizations 層級沒有明確拒絕前述政策中所列許可的服務控制政策。
如需詳細資訊,請參閱[設定 Systems Manager 所需的執行個體許可](https://docs.aws.amazon.com/systems-manager/latest/userguide/setup-instance-permissions.html)。
+ 若要封鎖傳出流量,請確定已在目標執行個體所在的 VPC 上啟用下列界面端點 (適當地取代 URL 中的「區域」):
+ ssm..amazonaws.com
+ ssmmessages..amazonaws.com
+ ec2messages..amazonaws.com
如需詳細資訊,請參閱[使用適用於 Systems Manager 的 VPC 端點來改善 EC2 執行個體的安全性](https://docs.aws.amazon.com/systems-manager/latest/userguide/setup-create-vpc.html)。
如需啟用或停用受管節點可用性疑難排解的一般秘訣,請參閱[解決方案 2:確認已為執行個體指定 IAM 執行個體描述檔 (僅限 EC2 執行個體)](https://docs.aws.amazon.com/systems-manager/latest/userguide/troubleshooting-managed-instances.html#instances-missing-solution-2)。
**注意**
AMS 會在自動安裝程序中停止和啟動每個執行個體。當執行個體停止時,存放在執行個體儲存體磁碟區中的資料和存放在 RAM 上的資料都會遺失。如需詳細資訊,請參閱[停止執行個體時會發生的情況](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Stop_Start.html#what-happens-stop)。
## 請求在您的執行個體上自動安裝 SSM Agent
如果您的帳戶已加入 AMS Accelerate Patch Add-On,請為執行個體設定修補程式維護時段 (MW)。需要有效的 SSM 代理程式才能完成修補程序。如果執行個體上缺少 SSM 代理程式,則 AMS 會嘗試在修補程式維護時段期間自動安裝它。
**注意**
AMS 會在自動安裝程序中停止和啟動每個執行個體。當執行個體停止時,存放在執行個體儲存體磁碟區中的資料和存放在 RAM 上的資料都會遺失。如需詳細資訊,請參閱[停止執行個體時會發生的情況](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Stop_Start.html#what-happens-stop)。
## SSM Agent 自動安裝的運作方式
AMS 使用 EC2 使用者資料在您的執行個體上執行安裝指令碼。若要新增使用者資料指令碼並在執行個體上執行,AMS 必須停止並啟動每個執行個體。
如果您的執行個體已有現有的使用者資料指令碼,則 AMS 會在自動安裝程序期間完成下列步驟:
1. 建立現有使用者資料指令碼的備份。
1. 以 SSM Agent 安裝指令碼取代現有的使用者資料指令碼。
1. 重新啟動執行個體以安裝 SSM Agent。
1. 停止執行個體並還原原始指令碼。
1. 使用原始指令碼重新啟動執行個體。
# 自動化執行個體組態變更
AMS Accelerate 執行個體組態自動化會在您的帳戶中進行下列變更:
1. IAM 許可
新增必要的 IAM 受管政策,以授予執行個體使用 AMS Accelerate 安裝代理程式的許可。
1. 代理
1. Amazon CloudWatch Agent 負責發出作業系統日誌和指標。執行個體組態自動化可確保 CloudWatch 代理程式已安裝並執行 AMS Accelerate 最低版本。
1. AWS Systems Manager SSM Agent 負責在執行個體上執行遠端命令。執行個體組態自動化可確保 SSM Agent 正在執行 AMS Accelerate 最低版本。
1. CloudWatch 組態
1. 為了確保發出所需的指標和日誌,AMS Accelerate 會自訂 CloudWatch 組態。如需詳細資訊,請參閱下一節:[CloudWatch 組態變更詳細資訊](inst-auto-config-details-cw.md)。
自動化執行個體組態會對 IAM 執行個體設定檔和 CloudWatch 組態進行變更或新增。
# IAM 許可變更詳細資訊
每個受管執行個體都必須具有 AWS Identity and Access Management 角色,其中包含下列受管政策:
+ arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore
+ arn:aws:iam::aws:policy/CloudWatchAgentServerPolicy
+ arn:aws:iam::aws:policy/AMSInstanceProfileBasePolicy
前兩個是 AWS受管政策。AMS 受管政策為:
**AMSInstanceProfileBasePolicy**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"secretsmanager:CreateSecret",
"secretsmanager:UpdateSecret"
],
"Resource": [
"arn:aws:secretsmanager:*:*:secret:/ams/byoa/*"
],
"Effect": "Allow"
},
{
"Action": [
"kms:Encrypt"
],
"Resource": [
"*"
],
"Effect": "Allow"
}
]
}
```
------
如果您的執行個體已連接 IAM 角色,但缺少任何這些政策,則 AMS 會將缺少的政策新增至您的 IAM 角色。如果您的執行個體沒有 IAM 角色,則 AMS 會連接 **AMSOSConfigurationCustomerInstanceProfile** IAM 角色。**AMSOSConfigurationCustomerInstanceProfile** IAM 角色具有 AMS Accelerate 所需的所有政策。
**注意**
如果達到預設執行個體描述檔限制 10,則 AMS 會將限制增加到 20,以便連接所需的執行個體描述檔。
# CloudWatch 組態變更詳細資訊
CloudWatch 組態的其他詳細資訊。
+ 執行個體上的 CloudWatch 組態檔案位置:
+ Windows:%ProgramData%\$1Amazon\$1AmazonCloudWatchAgent\$1amazon-cloudwatch-agent.json
+ Linux:/opt/aws/amazon-cloudwatch-agent/etc/amazon-cloudwatch-agent.d/ams-accelerate-config.json
+ Amazon S3 中的 CloudWatch 組態檔案位置:
+ Windows:https://ams-configuration-artifacts-*REGION\$1NAME*.s3.*REGION\$1NAME*.amazonaws.com/configurations/cloudwatch/latest/windows-cloudwatch-config.json
+ Linux:https://ams-configuration-artifacts-*REGION\$1NAME*.s3.*REGION\$1NAME*.amazonaws.com/configurations/cloudwatch/latest/linux-cloudwatch-config.json
+ 收集的指標:
+ Windows:
+ AWS Systems Manager SSM 代理程式 (CPU\$1Usage)
+ CloudWatch 代理程式 (CPU\$1Usage)
+ 所有磁碟的磁碟空間使用率 (% 可用空間)
+ 記憶體 (% 使用中的遞交位元組)
+ Linux︰
+ AWS Systems Manager SSM 代理程式 (CPU\$1Usage)
+ CloudWatch 代理程式 (CPU\$1Usage)
+ CPU (cpu\$1usage\$1idle、cpu\$1usage\$1iowait、cpu\$1usage\$1user、cpu\$1usage\$1system)
+ Disk (used\$1percent、inodes\$1used、inodes\$1total)
+ Diskio (io\$1time、 write\$1bytes、 read\$1bytes、 writes、 reads)
+ Mem (mem\$1used\$1percent)
+ 交換 (swap\$1used\$1percent)
+ 收集的日誌:
+ Windows:
+ AmazonSSMAgentLog
+ AmazonCloudWatchAgentLog
+ AmazonSSMErrorLog
+ AmazonCloudFormationLog
+ ApplicationEventLog
+ EC2ConfigServiceEventLog
+ MicrosoftWindowsAppLockerEXEAndDLLEventLog
+ MicrosoftWindowsAppLockerMSIAndScriptEventLog
+ MicrosoftWindowsGroupPolicyOperationalEventLog
+ SecurityEventLog
+ SystemEventLog
+ Linux︰
+ /var/log/amazon/ssm/amazon-ssm-agent.log
+ /var/log/amazon/ssm/errors.log
+ /var/log/audit/audit.log
+ /var/log/cloud-init-output.log
+ /var/log/cloud-init.log
+ /var/log/cron
+ /var/log/dpkg.log
+ /var/log/maillog
+ /var/log/messages
+ /var/log/secure
+ /var/log/spooler
+ /var/log/syslog
+ /var/log/yum.log
+ /var/log/zypper.log